Ferhenga Ewlehiyê ya Xygeni
Ferhenga Ewlehiyê ya Pêşvebirin û Radestkirina Nermalavê

Slopsquatting çi ye?

Slopsquatting çi ye? Ew êrîşek e ku tê de aktorên xerabkar navên pakêtên rastîn ên ku alîkarên kodkirina AI-ê halûsînasyonê dikin tomar dikin, dûv re wan pakêtan bi malware bar dikin û li benda pêşdebir in ku wan saz bike. Ev ne rewşek berbiçav e. Di lêkolînek ku li Ewlekariya USENIX 2025, %19.7ê pakêtên ku ji hêla modelên kodkirina AI ve li ser 576,000 nimûneyên kodê hatine pêşniyar kirin tune bûn, û lêkolîneran li seranserê modelên ku hatine ceribandin zêdetirî 205,000 navên halûsînasyonên bêhempa tomar kirin.

Fêmkirina ka slopsquatting çi ye (û wateya slopsquatting di pratîkê de çawa xuya dike) girîng e ji ber ku ew ne tenê taybetmendiyek AI ye. Slopsquatting cîgirê serdema AI ye. typosquatting, bi ferqeke girîng: typosquatting bi xeletiya nivîsandinê ya mirovan ve girêdayî ye, lê slopsquatting bi xeletiya modelekê ve girêdayî ye, ku bi awayekî pêşbînîkirî tê dubarekirin da ku êrîşkar bikaribe wê di pîvanek mezin de bikar bîne. Ev rêbername rave dike ka slopsquatting çi ye, çima ew ji nirxandina pakêtê zûtir belav dibe, çi xetereyan diafirîne, û rêxistin çawa dikarin wê kifş bikin û pêşî lê bigirin berî ku bigihîje hilberînê.

Wateya Slopsquatting: Pênasîn #

Wateya Slopsquatting, bi fermî: pratîka qeydkirina navekî pakêtê ku modelek zimanekî mezin halûsînasyon dike, navekî îcadkirî ku xuya dike maqûl lê di tu qeydeke giştî de tune ye, û barkirina wê bi koda xerabkar. berî ku pêşdebirê rastîn wê li gorî pêşniyara AI-ê saz bike.

Ev têgeh têgeha typosquatting (qeydkirina navekî pakêtê ku bi rêya şaşnivîsek hevpar navekî rastîn dişibihe) berfireh dike bo moda têkçûna taybetî ya AI-ya afirîner. Li cihê ku typosquatting şaşnivîsa mirovan bikar tîne, slopsquatting jî ... Halucînasyona modela AInAlîkarê kodkirinê ji bo pakêtek ku qet tune ye sazkirina pip an npm pêşniyar dike, û êrîşkarek ku heman navê dahênandî di nav fermanan de dubare dibe dîtiye pêşî wê qeyd dike.

Wateya Slopsquatting, di warê pratîkî de, ev e: êrîşeke zincîra dabînkirinê ku xeletiya modelekê vediguherîne îstîsnayek dixebite, bêyî ku ji bilî baweriya bi pêşniyara AI-ê xeletiyek mirovî hewce bike. Ev ne teorîk e. Pakêtek yekane ya halûsînasyonkirî, ku di sala 2023-an de wekî ceribandinek bêkêr hate çandin, di sê mehan de bêyî pêşvebirinê zêdetirî 30,000 dakêşan kişand û piştrast kir ku guhertoyên xerabkar ên ku vê qalibê tam bikar tînin îro di qeydên giştî de zindî ne.

Slopsquatting vs Typosquatting: Cûdahî çi ye? #

Slopsquatting û typosquatting heman encamê parve dikin (pêşdebir pakêtek zirardar saz dike û bawer dike ku ew rewa ye), lê çavkaniya çewtiyê bi awayekî kategorîk ji hev cuda ye.

Typosquatting bi xeletiya nivîsandinê ya mirovan ve girêdayî ye: pêşdebir dixwaze daxwazan binivîse û li şûna wê daxwazan binivîse, û êrîşkarek ku navê wî şaşnivîsî tomar kiriye li bendê ye. Rîsk bi lêdana klavyeyê ya pêşdebir, kêliyek bêhişbûnê ve girêdayî ye.

Slopsquatting bi tevahî xeletiya mirovan ji holê radike û wê bi xeletiya modelekê diguherîne, xeletiyek ku li ser her pêşdebirê ku pêşniyarek wekhev werdigire bi pîvanek mezin dubare dibe. Analîza şopandinê dît ku dema ku lêkolîneran pêşniyarên wekhev deh caran ji nû ve kirin, %43ê navên pakêtên halûsînasyonkirî di her xebitandinê de xuya bûn, û %58 jî ji carekê zêdetir dubare bûn. Ev dubarekirin ew e ku slopsquatting-ê dike îstismarkar: êrîşkar ne hewce ye ku xeletiyek çapkirinê texmîn bike. Ew tenê hewce ne ku bibînin ka modelek kîjan navî halûsînasyonkirî dubare dike û berî ku pêşdebirê rastîn bike wê tomar bikin.

Cudahiya herî mezin pîvan e. Pakêtek di bin kontrolê de li benda qezayek nivîsandinê ye. Pakêtek di bin kontrolê de li benda heman pêşniyara ku ji hêla AI ve hatî çêkirin e ku bigihîje pêşdebirê din, û yê piştî wê, û yê piştî wê, li seranserê her rêxistinek ku heman model bikar tîne.

Çima Slopsquatting belav dibe? #

Slopsquatting ji ber heman sedema ku typosquatting her gav kiriye, zêde dibe: êrîşkar şêwazek pêşbînîkirî bikar tînin ku pêşdebir bi xweberî jê bawer dikin. Ya nû pîvana baweriyê ye.

Zêdebûna kodkirina bi alîkariya AI, ajanên xweser, û herikên kar ên "kodkirina vibe", ku pêşdebir berî xebitandinê kodê kêmtir û kêmtir dinirxînin, rûyê êrîşa nermalavê bi du awayên berbiçav guhertiye:

Xala destpêkê êdî ne tenê pêşdebir e. Êrîşeke typosquatting bi xeletiya nivîsandinê ya kesekî ve girêdayî ye. Slopsquatting dikare di hundurê modelê de derkeve holê û li sedan pêşdebirên cûda belav bibe ku pirsên wekhev dipirsin û heman pêşniyara halûsînasyonkirî distînin, û gihîştina êrîşeke yekane zêde dike.

Rûyê êrîşê di zincîrê de bêtir ber bi jor ve çûye. Êdî nirxandina koda ku mirovek dinivîse têrê nake. Tîm jî hewce ne ku girêdayîbûnên ku alîkarek AI pêşniyar dike, serverên MCP-ê yên ku ew bi wan ve girêdide, û ajanên ku pakêtan bi awayekî xweser bêyî nirxandina rasterast a mirovan saz dikin, temaşe bikin. AppSec-a kevneşopî, ji bo nirxandina depoyan û mirovan hatiye çêkirin. commits, qet ji bo çavdêriya vê têkiliya nû ya di navbera pêşdebir, AI, û qeyda pakêtê de nehatiye sêwirandin, ku tam ew cihê ku slopsquatting vedişêre ye.

Rîskên Slopsquatting #

Rûbirûbûna bêserûber xetereyê li seranserê pîvanên ku hevûdu tevlihev dikin diafirîne, û meyl zûtir dibe ne ku winda bibe.

  • Îstismara dubarekirî. Ji ber ku navên halûsînasyonkirî ne rasthatî ne, heman navê sexte bi awayekî pêşbînîkirî di navbera danişîn û modelan de ji nû ve derdikeve holê. Êrîşkar ne hewce ne ku texmîn bikin; ew tenê hewce ne ku tevgera modelê bişopînin û navên ku dubare dibin tomar bikin, ku halûsînasyonek yekcarî vediguherîne êrîşek pîvanbar û dubarekirî.
  • Belavbûna ajantî. Slopsquatting êdî bi kopîkirin û pêvekirina fermana sazkirinê ya pêşniyarkirî ji hêla pêşdebir ve sînordar nîne. Di Çileya 2026an de, lêkolîneran dît ku ajanên kodkirina AI berê rêwerzên ku behsa pakêtek npm ya halûsînasyonkirî dikin li ser 237 depoyan belav kiribûn, û ajan hîn jî hewl didan ku wê rojane saz bikin, bêyî ku mirovek di nav çerxê de be ku xeletiyê bigire.
  • Xapandina dişibihiya navan. Bi qasî %38ê navên halûsînasyonkirî dişibin pakêtên rastîn, ev yek jî îhtîmala ku pêşdebir bi carekê ve şûna wan bibîne kêm dike. Pakêtek xerabkar ku yek tîp ji girêdayîbûnek pêbawer dûr dixe, gumanbar xuya nake; ew dişibihe şaşiyeke nivîsandinê ku hûn ê bi xwe bikin.
  • Tesbîtkirina mayînde. Pakêtek halûsînasyonkirî ku şûna pêvekek ESLint a rewa girtibû, hîn jî dakêşanên heftane tomar dikir, tewra piştî ku qeydê ew xist bin kontrolkirina ewlehiyê, ev delîl e ku nîşankirina pakêtek bêserûber tavilê sazkirina wê nahêle.

Li ku derê Slopsquatting xwe vedişêre #

Beşa herî dijwar a girtina slopsquatting ew e ku di kêliya ku diqewime de ew ne wekî êrîşekê xuya dike; ew wekî sazkirinek normal a pip an sazkirina npm-ê ya bi serkeftî temam dibe xuya dike, ji ber ku pakêt bi rastî jî piştî ku êrîşkarek wê tomar kiriye heye.

Slopsquatting bi gelemperî bi rêya:

  • Arîkarên kodkirina AI û hevpîlotên. Pêşniyara destpêkê, navekî pakêtek îcadkirî ku li kêleka kodek rewa û xebatkar tê pêşkêş kirin, cihê ku qelsî jê derdikeve holê ye. Tiştek di koda derdorê de xelet xuya nake, ji ber ku bi gelemperî ne xelet e; tenê girêdayîbûn sexte ye.
  • Ajanên kodkirinê yên xweser. Herikên xebatê yên ajansî yên ku girêdayîbûnan ​​bêyî vekolîna mirovî saz dikin, yek xala kontrolê, pêşdebirek ku ji bo verastkirina navekî rawestiyaye, radikin ku dê pakêtek halûsînasyonkirî berî ku bigihîje projeyekê bigire.
  • Gerînendeyên pakêtan bêyî pêngava verastkirinê. Ne sazkirina pip û ne jî sazkirina npm dema ku pakêta hedef heye û zirardar e çewtiyekê nade. Sazkirin bi awayekî normal diqede ji ber ku, ji perspektîfa rêveberê pakêtê, tiştek xelet tune ye.

Meriv Çawa Slopsquattingê Vedibîne û Pêşîlê Digire #

Pêşîgirtina li dagirkirina bêserûber a li malên bêserûber amûrên ekzotîk hewce nake. Ew pêdivî bi sepandina pratîkên paqijiya girêdayîbûnê yên ku jixwe hene, bi awayekî sîstematîk heye, li şûna ku wan di gavê de ku zekaya sûnî kodê "pêşniyar" dike sist bike.

Berî sazkirina pakêtek nû verast bike, bi taybetî yek ji hêla alîkarekî AI ve hatî pêşniyar kirin. Piştrast bike ku ew di qeyda fermî de heye, kî wê diparêze, kengî hatiye weşandin, û gelo hejmarên dakêşanê yên wê rast xuya dikin.

Qet texmîn neke ku koda ji hêla AI ve hatî çêkirin bi xwerû ewle yeKoda ku "dixebite" nayê wê wateyê ku girêdayîbûnên wê rewa ne. Nirxandina girêdayîbûnê divê beşek ji nirxandina kodê be, ne îstîsnayek jê be.

Skenkirina girêdayîbûnê bicîh bîne ku şêwazên rîskê li derveyî CVE-yên naskirî nîşan dide: pakêtên anormal, navên ku bi guman dişibin yên heyî, parastvanên nû yên bê tomar, an jî skrîptên bi tevgerên neasayî saz bike.

AI-SPM wekî qata rêveberiyê bicîh bînin. Rêvebiriya Helwesta Ewlehiyê ya AI pratîkek e ku ji bo girtina tam vî rengî xetera ku ji hêla AI ve hatî destnîşan kirin di pîvanek mezin de hatî çêkirin, bi berdewamî girêdayîbûnên pêşniyarkirî yên AI kifş dike û wan berî ku mirov neçar bimîne ku bi destan kontrol bike, pûan dike.

Ewlehiya li dijî Slopsquatting bi Xygeni re #

Tenê bi hişyariya pêşdebiran nikare pêşî li nelirêtiya bêserûber bigire. Siyasetek ku dibêje "her pakêta pêşniyarkirî ya ji hêla AI ve were verast kirin" li seranserê rêxistinekê ku pêşniyarên girêdayîbûnê ji her pêvajoyek nirxandina mirovî zûtir digihîjin, nayê sepandin.

Xygeni's nêzîkatî vê yekê wekî pirsgirêkek tespîtkirina domdar dibîne: Envantera AI û AI BOM her tiştê ku ji hêla AI ve hatî destnîşan kirin nîşan bide girêdayîbûn li seranserê SDLC, ku tomarên zindî yên tiştê ku alîkarek AI bi rastî pêşniyar kiriye û saz kiriye dide tîman. Xygeni Shield, ku ji hêla ve tê xebitandin MEW (Hişyariya Zû ya Malware), pakêtên zirardar, tevî yên slopsquatted, berî ku îmzeyek hebe tespît dike û asteng dike, û tam wê valahiya ku skanerên bingeha îmzeyê vekirî dihêlin digire.

Eger tîmên te alîkarên kodkirinê yên AI bikar tînin, pirsgirêka slopsquatting jixwe heye. Pirs ev e ku gelo navê halûsînasyonê yê din berî sazkirinê tê girtin.

Pirs û Bersîv #

slopsquatting, bi yek hevokê, çi ye?

Slopsquatting êrîşeke zincîra dabînkirinê ye ku tê de aktorên xerabkar navên pakêtên ne-heyî yên tam tomar dikin ku alîkarên kodkirina AI-ê bi berdewamî halucinasyonan dikin, û berî ku pêşdebir li gorî pêşniyara AI-ê yekê saz bike, wan bi malware bar dikin.

Dagirkirina zeviyên bêserûber çawa xetereyek li ser ewlehiya zincîra dabînkirinê diafirîne?

Êrîşkar dibînin ka modelên AI kîjan navên pakêtan dubare dibin, dûv re wan navên rast bi koda xerab tomar dikin berî ku pêşdebirê rastîn bike. Ji ber ku navê ku hatiye xapandin bi awayekî pêşbînîkirî di nav pêşniyar û danişînan de dubare dibe, pakêtek yekane ya qeydkirî ya bêserûber dikare bigihîje her pêşdebirê ku pêşniyarek AI ya wekhev werdigire, û yek modelek vediguherîne êrîşek pîvanbar li seranserê bingehek bikarhêner a tevahî.

Hûn çawa rîska nelirêtiya di rêxistinekê de kifş dikin?

Vedîtina bi bandor tê wateya ku girêdayîbûnên pêşniyarkirî yên AI wekî kategoriyek rîska cuda, ne wekî komek girêdayîbûnên çavkaniya vekirî yên asayî, werin dermankirin. Ev hewceyê dîtina tiştên ku alîkar û ajanên kodkirina AI bi rastî pêşniyar dikin û saz dikin, bi daneyên qeydkirinê (dîroka weşanê, dîroka parêzvan, şêwazên dakêşanê) û tespîtkirina malware ya li ser bingeha tevgerê ve girêdayî ye, li şûna ku tenê bi skankirina li ser bingeha îmzeyê ve girêdayî be.

Belaş dest pê bikin

Ji bo belaş dest pê bikin.
Qerta krediyê ne hewce ye.

Bi yek klîk dest pê bikin:

Ev agahî dê li gorî pîvanên hatine diyarkirin bi ewlehî were hilanîn Terms of Service û Politikaya veşartî

Dîmena sepanê